Net Secure
Сетевая безопасность

Статьи раздела

все статьи

  • Безопасность сетей - методы хакерских атак (Часть 3)
    2008-12-02 15:08:33

  • Безопасность сетей - методы хакерских атак (Часть 2)
    2008-12-02 15:09:38

  • Безопасность сетей - категории атак
    2008-12-02 15:10:38

  • Безопасность сетей - методы хакерских атак
    2008-12-09 00:00:00

  • Понятие " Информационная безопасность".
    2010-12-01 12:26:14

  • Роль Политики безопасности
    2011-01-26 11:16:37

  • Службы информационной безопасности
    2011-04-12 11:04:12

  • Политика безопасности Часть 1
    2011-04-12 14:06:24

  • Политика безопасности Часть 2
    2011-04-12 14:18:19

  • Политика безопасности Часть 3
    2011-04-12 14:29:55

  • Управление рисками
    2011-08-16 16:10:41

  • Обеспечение информационной безопасности - Оценка стоимости
    2011-12-08 08:58:42

  • Обеспечение информационной безопасности - Физическая безопасность
    2011-12-08 09:11:31

  • Обеспечение информационной безопасности - Разработка политики и реализация
    2011-12-08 09:30:18

  • Обеспечение информационной безопасности - Проведение аудита
    2011-12-08 09:44:48

  • Рекомендации по обеспечению сетевой безопасности - Административная безопасность
    2011-12-09 10:55:22

  • Рекомендации по обеспечению сетевой безопасности - Техническая безопасность
    2011-12-09 11:57:07

  • Рекомендации по обеспечению сетевой безопасности - Использование стандарта ISO 17799
    2011-12-09 12:04:25

  • Межсетевые экраны
    2011-12-14 12:46:22

  • Виртуальные частные сети
    2011-12-23 11:42:00

  • Развертывание узловых сетей VPN
    2011-12-23 11:54:23

  • Понятие стандартных технологий функционирования VPN
    2011-12-23 12:10:56

  • Типы систем VPN
    2011-12-23 12:22:24

  • Trusteer Rapport на страже безопасности систем ДБО
    2012-08-28 13:05:56

  • Новости


    Все новости

    Aтака WannaCry больше всего затронула Windows 7

    | 2017-05-23 12:09:00 |

    Исследователи безопасности сообщают о том, что большинство компьютеров, пострадавших от эпидемии WannaCry,...


    Эксплоиты для Android используют уязвимость Dirty COW

    | 2016-10-26 09:44:24 |

    Dirty COW – уязвимость ядра Linux, была публично раскрыта на прошлой неделе. Эксперты предупреждают,...


    Что ожидать в 2016 году - Лаборатория Касперского

    | 2015-12-16 13:07:13 |

    В уходящем 2015 году произошло немало значимых киберсобытий, некоторые из которых получили по-настоящему...


    ESET NOD32 защитит информационную систему компании «СТС Медиа»

    | 2015-10-16 13:36:04 |

    Международная компания ESET объявляет о начале сотрудничества с «СТС Медиа», ведущей независимой медиакомпанией...


    Компания SAP оперативно закрыла критичную уязвимость в SAP HANA

    | 2015-10-16 13:27:05 |

    Компания Digital Security, предупреждает о выявлении опасных уязвимостей в SAP HANA, инновационном...


     

    Роль Политики безопасности | 2011-01-26 11:16:37

    Разумная политика – первая линия вашей обороны . Правильно разработанная политика исследует любую угрозу ( или пытается сделать это ) и обеспечивает поддержку конфиденциальности , целостности и наличия ( или , по край­ней мере , оценивает известные риски ). Как мы увидим ниже , определение политики начинается с четкой идентификации и перечисления ресурсов , которые используются в рамках определенных стандартов и определяют функционирование сети в безопасном режиме . После определения основного стандарта вы начинаете выстраивать методы функционирования индиви­дуальных приложений и услуг .

    Многие производители беспроводного оборудования отвечают на рост угроз безопасности тем , что ужесточают версии своих продуктов . Ваша политика безопасности должна всегда требовать , чтобы вся технология , существующая или вновь разворачиваемая , включала бы в себя все новинки в области безопасности . Однако поскольку проектирование и внедрение этих новинок требуют определенного времени , политика и ее внедрение должны стать первым уровнем обороны против известных и неизвестных угроз .

    Хорошо разработанная политика должна быть чем - то большим , чем просто списком рекомендаций . Она должна стать существенным и даже основным элементом обеспечения безопасности в вашей организации . Правильная политика может обеспечить защиту от уязвимости из - за действий сотрудников , а также может служить основой для контроля торговых секретов компании . Она должна быть разработана с учетом интересов всех сотрудников организации , принимая во внимание внутренний и внешний аудит , чтобы убедиться в том , что все активы компании защищены и все уровни защиты надежно контролируются , как это указано в стандартах , политике и стратегии .

    Ущерб и защита

    Стремление к управлению

    Управление компанией всегда должно стремиться к обеспечению безопасности корпоративных активов , что должно включать в себя и защиту информации.

    Надо предпринять меры для защиты ее от несанкционированной модификации , разрушения или раскрытия ( случайного или намеренного ) и уверенности в ее аутентификации , целостности , нахождения в наличии и конфиденциальности .

    Основополагающим для успеха любой программы безопасности являются стремление руководства к реализации процесса обеспечения информационной безопасности и понимание того , насколько важны управление информационной безопасностью и ее защита для работоспособности компании . Утверждения руководства обычно содержат следующие элементы :

    1) признание важности вычислительных ресурсов для бизнес - модели ;

    2) поддержку информационной безопасности в компании ;

    3) стремление контролировать процессы и управлять ими на нижнем уровне стандартов , процедур и руководств .

    Главная часть любой политики – это определение того , на что она направлена. Главная цель любой политики – это снижение угроз безопасности и уязвимости тех ресурсов , которые надо защищать. Процесс определения политики обычно включает в себя перечисление того эффекта, который может оказать реализация угроз на действия компании , и определение вероятности реализации угроз . Анализ рисков ( АР ) – это процесс анализа угроз и их относительной опасности .

    На рисунке показана матрица изображения угроз и вероятности их воплощения в плоскости ( X - Y ). Цель АР заключается в уменьшении уровня воздействия угроз и вероятности их реализации . Правильное управление должно перемещать нанесенные точки в плоскости ( X - Y ) из правого верхнего угла в левый нижний .

    Неадекватно сконструированное и развернутое управление не окажет никакого влияния на расположение точек на графике до и после его внедрения.

    Идентификация ресурсов

    Для доступа ресурсов и их защиты надо их прежде всего идентифицировать, классифицировать и пометить таким образом, чтобы в процессе анализа рисков вы смогли бы перечислить все возможные риски для каждого элемента вашей системы и определить возможное решение для минимизации этих рисков.

    Классификация в сфере безопасности дает такие преимущества:

    • демонстрирует стремление компании обеспечить безопасность своих действий;
    • помогает уяснить, какая информация наиболее важна или жизненно необходима для компании;
    • поддерживает доктрины конфиденциальности, целостности и наличия данных;
    • помогает определить, какую защиту следует применять к той или иной информации;
    • может требоваться по причинам регулирования, совместимости или законодательства.

    Вот какие категории используются для классификации ресурсов.

    • Публичные . Это ресурсы, доступ к которым не предоставляет риска и может быть предоставлен всем желающим, пока они не нарушают элементарных правил сохранения конфиденциальности, а знание этой информации не может привести организацию к потере денег, затруднить ее функционирование или снизить безопасность ее активов. Примеры публичной информации включают в себя маркетинговые брошюры, опубликованные ежегодные отчеты, пресс-релизы и бизнес-карточки.
    • Для внутреннего пользования. Это элементы с низким уровнем риска, доступ к которым из-за своего влияния на бизнес процессы или техническое функционирование системы ограничен только сотрудниками компании или теми, кто работает по контракту, но подписал соглашение о неразглашении информации. Если возникнет ситуация несанкционированного доступа, утечки информации или уничтожения документов, все это будет иметь только незначительное воздействие на компанию, ее клиентов и сотрудников. Примерами такой информации для внутреннего пользования являются рабочие тетради сотрудников, телефонные книги, перспективные планы компании и описание ее стратегии.
    • Конфиденциальные . Это элементы со средним уровнем риска, чье неавторизованное раскрытие, прослушивание или разрушение прямо или косвенно влияет на всю компанию, ее клиентов и сотрудников и может привести к финансовым потерям, ущербу имиджа компании, потере бизнеса или даже определенным действиям законодательных структур. Они должны использоваться только внутри организации, и доступ к ним должен быть ограничен. Примеры такой информации включают в себя структуру конфигурации системы, личное ПО, сведения о сотрудниках, сведения о клиентах, бизнесплан, информацию о бюджете, планы и стандарты обеспечения безопасности.
    • Ограниченные . Это информация с высокой степенью риска, несанкционированный доступ к которой, ее раскрытие или уничтожение могут привести к очень серьезному ущербу для компании и предоставлению серьезных выгод конкурентам, а также к штрафам и другим потерям у самой компании, ее сотрудников и клиентов. Информация этого рода предназначена для ограниченного пользования внутри компании только определенным кругом лиц. Примерами подобной информации являются ключи шифрования, стратегические планы, информация для аутентификации (пароли, PIN и т. д.), а также IP -адреса серверов, связанных с обеспечением безопасности.

    Вся информация в любом виде - бумажная, голосовая или в электронной форме - должна быть классифицирована, помечена соответствующим образом и распределена в соответствии с вашей классификацией информации и процедурами работы с ней. Это поможет вам определить, какая информация несет с собой максимальную угрозу для компании и каким путем обеспечить ее безопасность.

    Ваша беспроводная сеть также содержит несколько внутренних элементов , которые стоит классифицировать , но общая классификация всех сетевых устройств должна происходить на уровне информации , которая передается по ее каналам . Используя системы электронной почты и получая доступ к внутренним сайтам через вашу беспроводную сеть , вы обнаружите , что ва­ша сеть содержит информацию ограниченного использования . Однако если вы сможете зашифровать пароль , классификация данных в сети может быть проведена на основе неаутентифицированной информации , передающейся через беспроводную сеть.

    Критерии классификации

    Есть несколько дополнительных критериев , которые могут быть использованы при определении классификации информационных ресурсов.

    • Ценность. Это наиболее часто используемый для классификации дан­ных в частном секторе критерий. Если какая - то информация имеет ценность для человека или компании , то ее надо правильно иденти­фицировать и классифицировать .
    • Возраст. Информация теряет ценность и должна переклассифицироваться на более низкий уровень по мере того, как проходит время . Во многих правительственных организациях после определенного периода времени классифицированные документы автоматически теряют свою классификацию .
    • Полезная жизнь . Если информация устаревает из - за появления новой информации или ресурсов , она обычно переклассифицируется .
    • Связь с персоналом. Если информация ассоциируется с конкретным человеком или сокрыта благодаря законам охраны частной информации , то может возникнуть необходимость в ее переклассификации .

    Внедрение политики

    Процедуры классификации информации предлагают несколько шагов для создания системы классификации , повышающей стандарты вашей безопасности . Вот эти шаги :

    • идентифицировать администратора или охранника ;
    • определить критерии того , как информация будет классифицироваться и помечаться ;
    • классифицировать данные их владельцем , который должен контролироваться неким супервизором ;
    • определить и документировать любые исключения в политике классификации ;
    • определить управление , которое будет применено к каждому уровню классификации ;
    • определить процедуру прекращения деклассификации информации или передачи охраны информации другим организациям ;
    • создать программу информирования компании об управлении классификацией .

    После того как ваша информация и ресурсы соответственным образом идентифицированы и классифицированы, вы сможете определить необходимое управление , для того чтобы обеспечить конфиденциальность и безопасность информации для сотрудников и клиентов. Во многих отраслях промышленности есть потребность, в соответствии с законодательством или внутренними нормами, обеспечить адекватную политику безопасности и сохранения конфиденциальности для различной информации . Взаимоотношения между политикой , стратегиями и стандартами показаны на рисунке .

    Стратегии относятся к методологиям систем обеспечения безопасности . Стратегии – это более гибкий инструмент , чем стандарты или политики, они принимают во внимание различные информационные системы в процессе своего развития и развертывания , предлагая обычно специальные процессы для безопасного использования информационных ресурсов . У многих организаций есть общие стратегии обеспечения безопасности в отношении к имеющимся платформам : Windows , SCO - Unix , Debian Linux , Red Hat Linux , Oracle и т . д .

    Стандарты определяют использование различных технологий стандартизованным образом . Они часто не такие гибкие, как стратегии, они предлагают более широкие взгляды на конкретную технологию . Обычно они являются стандартами для использования шифрования , классификации информации и других важнейших процессов.

    Политики - это обычно набор положений , созданных по стратегическим или правовым причинам , из которых определяются стандарты и стратегии . Некоторые политики основываются на собраниях норм и правил для отраслей промышленности , таких как необходимое медицинское страхование , другие могут иметь в своей основе законодательные требования по сохранению персональной информации своих клиентов .

    Политики , стандарты и стратегии должны быть четко сформулированы и сфокусированы и должны отражать такие моменты :

    • разграничение уровней ответственности и прав руководства ;
    • управление доступом ;
    • степень , до которой требуется верификация формата ;
    • управление , действующее по своему усмотрению или на основе мандата ( обычно уместное только в ситуации , связанной с правительством или политикой );
    • расстановка меток ;
    • управление средой ;
    • импорт и экспорт информации ;
    • уровни безопасности и классификации ;
    • трактовка выходной информации системы .

    Политика должна определить , что ожидает организация в сфере информационной безопасности . Разумная политика должна отражать все законы и нормы , которые оказывают влияние на использование информации внутри компании .

     


    Распечатать данную страницу




    Всего просмотров этой страницы: 2542. Сегодня: 3
    Главная | Cтатистика | | Новости | Ссылки
    © 2011 NSecure.RU All Rights Reserved